下一代防火墙的几个特征

　　防火墙一方面可以阻止来自互联网的对受保护网络的未授权访问，另一方面允许内部网络用户对互联网进行访问。

　　回顾发展历程，防火墙经历了包过滤防火墙和状态检测防火墙两个发展阶段。状态检测防火墙实现了对数据包连接状态的监控，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。状态检测防火墙通过检查报文的协议类型和端口号等信息，来监控基于连接的应用层协议。然而，它只能粗粒度地识别来自应用层的攻击行为，也无法针对数据内容做检查。

　　用户对防火墙提出了更高的要求。下一代防火墙不但要能够检测并拦截复杂攻击，还要在应用层(包括端口和协议)执行细化安全策略，具备出色的可视化性能和控制能力，可以及时查看网络中应用程序和用户的相关信息以及整个企业网络的流量内容，并进行相应的控制。

　　要做到应用的可视化，下一代防火墙就必须采用能够提供更高性能的架构。现在多核架构已经成为主流，在多核的基础上，各家厂商还设计了“NP +多核+分布式”、“多核+ASIC”等架构。

　　当云计算成为无法阻挡的趋势时，防火墙也将借助云的力量变得更强大、更智能，部分国外厂商已经推出了采用此类技术的防火墙。

　　虚拟化技术是对防火墙的更大挑战，在如何保护虚拟环境的安全性方面，少数防火墙厂商已经提出了解决方案，我们希望能有更多的解决方案出现。